Laat de evaluatie beginnen: waar ging het mis met de AVG?
Je kon het eigenlijk al maanden zien aankomen: de laatste weken voor de invoering van de nieuwe privacywetgeving (de AVG) breekt de paniek los. Bedrijven beginnen te laat met de voorbereidingen, de media bericht regelmatig dat we de deadline niet gaan halen en natuurlijk ontstaat er ook gemor; volgens MKB Nederland vindt een merendeel van de ondernemers dat de overheid tekort is geschoten in de communicatie over de nieuwe wet.
Het is nog te vroeg om nu al te evalueren, maar het is wel een interessante vraag hoe het nu zo ver heeft kunnen komen. Was het laksheid, of hebben we met zijn allen de impact van deze nieuwe wet onderschat?
Het laatste lijkt sowieso het geval te zijn. En dat zit hem met name in de complexiteit van de nieuwe wet. Aan de AVG zitten juridische kanten, het gedrag van medewerkers speelt een belangrijke rol en ook IT is een belangrijke speler binnen organisaties. In de voorbereiding op de AVG (voluit Algemene verordening gegevensbescherming) zijn idealiter dus verschillende stakeholders betrokken: het management, Sales en Marketing, HR, IT, en niet in de laatste plaats de juridische afdeling.
Dat is al met al best een complex projectteam, laat staan dat eenvoudig kan worden uitgemaakt wie er nu verantwoordelijk is voor het naleven van de AVG. De voorbereiding op deze regeling vereist een integrale benadering, met mensen uit verschillende hoeken van de organisatie die niet dagelijks met elkaar te maken hebben en er eigenlijk ook geen tijd voor hebben.
Het gevolg hiervan is dat organisaties vaak, bij wijze van noodgreep, één van deze specialismes verantwoordelijk hebben gemaakt voor AVG. Als dat de juridische afdeling is, dan zie je vaak dat de nadruk wordt gelegd op het naleven van alle eisen die worden gesteld – het afvinken van een lijstje. Als IT in de lead is, dan zal de voorbereiding op 25 mei vooral worden gezien als een technologisch traject, waarin het belangrijk is om data zo goed mogelijk te beschermen. Als marketing leidend is, dan ligt de nadruk op het verkrijgen van de toestemming van betrokkenen, het gebruik van analytics en profiling – met als doel om ook ná 25 mei digitale marketing te kunnen bedrijven.
Gelukkig is er ook geen man overboord als er op 26 mei nog geen 100 procent ‘compliancy’ is. Het zal niet zo’n vaart lopen dat de Autoriteit Persoonsgegevens (AP) op 26 mei op de stoep staat en opvraagt wat je als organisatie hebt gedaan om de wet na te leven. Waarschijnlijk zullen we ook nog maanden of jaren te maken krijgen met onduidelijkheden en nieuwe jurisprudentie op het gebied van de AVG, omdat veel onderdelen nu eenmaal niet uitputtend zijn uitgelegd (of omdat er tegenstrijdigheden met andere wet- en regelgeving zijn).
Het belangrijkste wat bedrijven na 25 mei moeten kunnen aantonen, is dat ze hun uiterste best hebben gedaan om tijdig maatregelen te nemen. Als dat maatregelen die voor verbetering vatbaar blijken te zijn, dan is de verwachting dat de AP een constructieve houding aanneemt en geneigd zal zijn om verbeteringen te adviseren/eisen zonder verdere consequenties. Wie daarentegen helemaal niks heeft ondernomen (of duidelijk tekort is geschoten) heeft een grotere kans om op de vingers te worden getikt.
Al met al kun je (nu al) gerust stellen dat de complexiteit van dit hele proces is onderschat. Wellicht is het inderdaad zo, zoals MKB Nederland stelt, dat dat voor een deel ligt aan de informatievoorziening van de overheid. Maar ondernemers (en hun juridische, marketing- en IT-afdelingen) mogen ook wel een beetje de hand in eigen boezem steken; het was eigenlijk van meet af aan wel duidelijk dat dit best een complexe en tijdrovende inspanning zou vergen.
